Децентрализованная платформа Moonwell подверглась эксплойту на $1 миллион 4 ноября 2025 года, выявив критические уязвимости в том, как DeFi протоколы зависят от внешних данных о ценах. Атака была направлена на операции кредитного протокола в сетях Base и Optimism, высасывая средства через сложную эксплуатацию флэш-кредитования, манипулирующую ценовыми фидами оракула.
Инцидент разворачивался, когда блокчейн-компания по безопасности BlockSec обнаружила подозрительные транзакции, нацеленные на смарт-контракты Moonwell. Согласно их анализу, злоумышленники воспользовались ошибочным фидом оракула rsETH/ETH, который неверно сообщал цену загорнутого restaked ETH (wrstETH) примерно в $5.8 миллиона за токен - значительное завышение по сравнению с актуальной рыночной ценой менее чем $3,500 для базового ETH.
Используя эту ошибку в оценке, хакер провел повторные атаки флэш-кредитов, которые позволяли ему занимать значительные объемы криптовалюты против минимального обеспечения. Компания по безопасности CertiK сообщила, что злоумышленник "смог многократно занимать более 20 wstETH, имея в залоге всего ~0.02 wrstETH, благодаря сбою в оракуле."
Эксплойт в конечном итоге принес хакеру около 295 ETH, что оценивается примерно в $1 миллион.
Шаблон уязвимостей
Этот последний взлом является четвертым крупным инцидентом безопасности для Moonwell за три года, что вызывает серьезные вопросы насчет инфраструктуры безопасности протокола. Платформа ранее потеряла $1.7 миллиона в октябре 2025 года во время рыночного краха, вызванного объявлениями о тарифах, когда разрывы цен оракула-DEX позволили злоумышленникам воспользоваться механизмами ликвидации.
В декабре 2024 года, Moonwell пострадала от атаки флэш-кредитов на $320,000, целью которой был контракт на кредитование USDC, где вредоносный контракт, замаскированный под "mToken", предоставил несанкционированные одобрения токенов. Злоумышленник использовал Tornado Cash для финансирования кошелька и быстро обменял украденный USDC на DAI, прежде чем власти смогли отреагировать.
Протокол также столкнулся с проблемами, связанными с инцидентом Nomad Bridge в 2022 году, хотя точное финансовое воздействие остается неясным. Этот тревожный трек-рекорд заставил аудитора безопасности QuillAudits заметить: "Еще один день, еще один эксплойт Moonwell. 4-й крупный инцидент за 3 года."
Влияние на рынок и доверие инвесторов
Эксплойт вызвал немедленный шок в экосистеме Moonwell. Токен WELL упал на 13.5% за один день, после известия о нападении, что значительно хуже по сравнению с более широкой криптовалютной дисциссией в 3.95%. По состоянию на 4 ноября WELL торговался примерно по $0.0155, что составляет 51% снижение за прошлый месяц и растягивая потери от исторических максимумов до более чем 96%.
Время оказалось особенно неудачным для Moonwell, которая только что отчиталась о рекордных доходах от комиссионных в октябре, распределив $2.12 миллиона среди кредиторов и резервов на Base и Optimism. Платформа приписала этот успех "увеличенному спросу на кредиты → более высокие ставки → больше доходов → больше WELL приобретенных на аукционах резерва каждый месяц." Однако последний инцидент с безопасностью затмил эти положительные метрики и вызвал обеспокоенность насчет оттока капитала из протокола.
Добавление к напряженности у инвесторов, Moonwell отказалась от программы вознаграждений за баги на Immunefi ранее в 2025 году, всего за несколько месяцев до этих крупных атак. Это решение теперь кажется сомнительным, учитывая последующие сбои в безопасности.
Проблема оракулов в DeFi
Инцидент Moonwell подчеркивает основную проблему, с которой сталкивается децентрализованное финансирование: зависимость от внешних источников данных, называемых оракулами. Эти системы предоставляют смарт-контрактам информацию из реального мира, такую как цены на активы, но они вводят потенциальные точки уязвимости.
В этом случае эксплойт начался с внецепочного уязвимости оракула в фиде цен rsETH/ETH, возможно, предоставленного Chainlink. Аналитики безопасности заметили, что конфигурация оракула включала "устаревшие интервалы хартбитов и широкие пределы отклонений", позволяя значительные отклонения цен прежде, чем обновления были вызваны.
Сам метод атаки был сложным. Используя флэш-кредиты - необеспеченные кредиты, которые необходимо возместить в рамках единой транзакции - хакер завысил значения застав на основе ошибочных данных оракула. Поскольку протокол оценивал крошечный депозит в 0.02 wrstETH в более чем $116,000, злоумышленник смог брать в кредит 20 wstETH на транзакцию, истощая резервы Moonwell через множество операций.
Блокчейн-аналитики считают, что MEV (максимально извлекаемая стоимость) боты могли участвовать в поиске и эксплойте уязвимости, подчеркивая, как автоматизированные торговые системы могут быстро использовать слабости протокола.
Кризис безопасности в DeFi
Эксплойт Moonwell произошел на фоне особенно турбулентного периода для децентрализованных финансов. Всего за день до этого, 3 ноября, Balancer подвергся разрушительной атаке на $128 миллионов, затрагивающей его пулы V2 на нескольких блокчейнах, включая Ethereum, Berachain, Arbitrum, Base, Optimism и Polygon.
Атака на Balancer использовала уязвимость в системе контроля доступа в "бустаных пулах" протокола и функции "manageUserBalance", несмотря на то, что кодовая база прошла 11 отдельных проверок безопасности с 2021 года. Эта реальность показала, что даже обширный аудинг не может гарантировать безопасность протокола.
Кроме того, Berachain, совместимый с Ethereum блокчейн уровня 1, подвергся атаке, связанной с Ethena/Honey трипулом. Фонд Berachain временно приостановил свою сеть, чтобы предотвратить дальнейший ущерб, с объяснением от Главного дымового офицера Smokey The Bera: "Когда под угрозой находятся около $12 миллионов средств пользователей... мы попытались координировать состав валидаторов для защиты этих пользователей."
В совокупности, эти три инцидента в начале ноября 2025 уничтожили по меньшей мере $222 миллиона из DeFi протоколов, по данным The Block, выявив глубоко взаимосвязанную природу систем ликвидности и залога на блокчейн-сетях.
Заключительные мысли
Хотя данные PeckShield показывают, что потери от эксплойтов в DeFi сократились на 85.7% в октябре до $18.18 миллионов через 15 инцидентов - по сравнению с более чем $127 миллионами в сентябре - ноябрьские атаки демонстрируют, что существенные уязвимости сохраняются. Манипуляции с оракулами и эксплойты флэш-кредитов остаются среди самых эффективных направлений атак против DeFi протоколов.
Эксперты отрасли утверждают, что эти инциденты, вероятно, ускорят призывы к более строгим требованиям к проверке оракулов и многосистемным системам верификации цен. DeFi протоколам, возможно, придется внедрять более надежные проверки разумности цен, быстрее интервалов обновления хартбитов для обновлений оракулов и предохранителей, останавливающих операции при обнаружении необычных ценовых движений.
Для Moonwell в частности, путь к восстановлению доверия кажется сложным. С снижением общего залоченного объема с почти $400 миллионов на пике до примерно $234 миллионов до последней атаки, и ожидающимся дальнейшими снижениями, протокол сталкивается с давлением на внедрение комплексных обновлений безопасности и, возможно, компенсацию пострадавшим пользователям.
Эксплойты ноября 2025 служат суровым напоминанием о том, что несмотря на годы разработки и миллиарды долларов, заблокированные в DeFi протокола, сектор остается уязвимым к сложным атакам. По мере роста принятия и увеличения институционального капитала в децентрализованное финансирование, необходимость в более строгих мерах безопасности, лучших системах оракулов и более комплексном управлении рисками никогда не была более критичной.